Le migliori pratiche per autenticare terze parti in un sito web?

6

Ho un sito Web realizzato con ASP.NET e utilizza l'autenticazione basata su cookie basata su cookie per proteggerlo da accessi non autorizzati.

Ha anche un'API basata su REST che utilizza l'autenticazione basata su chiave API. (La chiave è distribuita separatamente).

Abbiamo un caso in cui uno dei nostri clienti desidera incorporare determinate pagine dal nostro sito all'interno del proprio sito (utilizzando un IFRAME). Quel cliente avrà anche molti altri clienti che si autenticano con il sito del cliente.

Quali sono i modi migliori per autenticare temporaneamente questi clienti di terzi nel nostro sito? Esistono schemi accettati per questo tipo di scenari?

    
posta BuddhiP 08.07.2015 - 10:55
fonte

1 risposta

1

Non è chiaro se il sito Web del tuo cliente utilizza l'autenticazione. Se si desidera una soluzione Single Sign-On (SSO), è necessario trovare un provider di identità comune per entrambi i siti Web o consultare la federazione delle identità .

Probabilmente vorrai cercare di supportare qualche tipo di schema di autenticazione basato su token. Avrai bisogno di un Security Token Service ( STS ) come ad esempio ADFS o Ping Identity che può emettere token fidati del tuo sito e anche federati con il tuo provider di identità dei clienti.

Questi token emessi possono anche essere utilizzati per l'autenticazione con la tua web API.

    
risposta data 28.08.2015 - 19:42
fonte

Leggi altre domande sui tag